Skip to content
EN

ERR_QUIC_HANDSHAKE_FAILED

Коротко:

ERR_QUIC_HANDSHAKE_FAILED — initial cryptographic handshake в QUIC failed. QUIC использует TLS 1.3 (mandatory), так что все TLS 1.3 handshake errors могут проявиться. Обычно: server cert invalid/expired, client не поддерживает required cipher, ALPN negotiation failed (сервер не advertises h3). Fix: verify cert + enable modern ciphers + correct ALPN.

Ниже: причины, исправление, FAQ.

Проверить SSL своего сайта →

Причины ошибки

  • TLS 1.3 cert invalid (expired, wrong SAN, missing intermediate)
  • Server не supports QUIC v1 (draft versions deprecated)
  • ALPN h3 not advertised в server hello
  • Cipher suite mismatch (QUIC requires TLS_AES_128_GCM_SHA256 minimum)
  • X25519 curve disabled в server OpenSSL

Пошаговое исправление

  1. Verify cert: Enterno SSL Checker
  2. nginx QUIC: ssl_protocols TLSv1.3; (not TLSv1.2)
  3. Enable modern ciphers: ssl_ciphers TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384;
  4. Check ALPN: openssl s_client -connect host:443 -alpn h3
  5. Curl test: curl --http3 https://example.com -v

Проверить SSL-сертификат →

Смежные SSL-ошибки

Что такое ERR_QUIC_HANDSHAKE_FAILED?

Ошибка ERR_QUIC_HANDSHAKE_FAILED возникает, когда клиент не может успешно завершить процесс рукопожатия QUIC (Quick UDP Internet Connections) с сервером. Это может быть связано с различными проблемами, включая неправильные настройки сервера, блокировку соединений или несовместимость с клиентом. Для устранения данной проблемы рекомендуется проверить настройки вашего сервера и убедиться, что он поддерживает QUIC, а также проверить наличие блокировок на уровне сети.

Причины возникновения ERR_QUIC_HANDSHAKE_FAILED

Существует несколько основных причин, по которым может возникать ошибка ERR_QUIC_HANDSHAKE_FAILED:

  • Неправильные настройки сервера: Если сервер не настроен для поддержки протокола QUIC, клиент не сможет завершить рукопожатие.
  • Проблемы с сетью: Брандмауэры или маршрутизаторы могут блокировать UDP-пакеты, что также мешает успешному завершению рукопожатия.
  • Конфликтующие расширения: Некоторые расширения браузера могут мешать работе QUIC, вызывая ошибку.
  • Недостаточная поддержка клиентом: Убедитесь, что используемый браузер поддерживает QUIC и обновлен до последней версии.

Чтобы диагностировать проблему, можно использовать команду ping для проверки доступности сервера и traceroute для выявления возможных блокировок на уровне сети.

Решение проблемы ERR_QUIC_HANDSHAKE_FAILED

Для устранения ошибки ERR_QUIC_HANDSHAKE_FAILED можно предпринять следующие шаги:

  1. Проверьте настройки сервера: Убедитесь, что ваш сервер поддерживает QUIC. Для этого можно использовать конфигурацию Nginx:
http {
# Включение QUIC
listen 443 quic reuseport;
proxy_pass http://backend;
# Укажите необходимые параметры QUIC
quic_max_idle_timeout 30s;
quic_max_connections 100;
}
  1. Отключите расширения браузера: Некоторые расширения могут конфликтовать с QUIC. Попробуйте отключить их и проверить, исчезла ли ошибка.
  2. Проверьте настройки сети: Если вы используете брандмауэр или VPN, убедитесь, что они не блокируют UDP-пакеты. Это можно сделать с помощью команды iptables на Linux:
iptables -L -v -n
  1. Обновите браузер: Убедитесь, что ваш браузер обновлен до последней версии, так как многие обновления могут содержать исправления для поддержки новых протоколов.

Следуя этим рекомендациям, вы сможете устранить ошибку ERR_QUIC_HANDSHAKE_FAILED и восстановить нормальную работу вашего сайта.

СертификатСрок, издатель, домены (SAN)
ЦепочкаПроверка промежуточных и корневых CA
TLS-протоколВерсия TLS и набор шифров
УязвимостиHeartbleed, POODLE, слабые шифры

Почему нам доверяют

TLS 1.3
поддержка
Полная
цепочка CA
<2с
результат
30/14/7
дней до истечения

Как это работает

1

Введите домен

2

Проверка цепочки TLS

3

Дата истечения и уязвимости

Что проверяет SSL-тест?

SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.

Детали сертификата

Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).

Цепочка доверия

Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.

Анализ TLS

Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).

Оповещения об истечении

Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.

DV vs OV vs EV сертификаты

DV (Domain Validation)
  • Подтверждение только владения доменом
  • Выдаётся за минуты автоматически
  • Бесплатно через Let's Encrypt
  • Подходит для большинства сайтов
  • Самый распространённый тип
OV / EV
  • Проверка организации (OV) или расширенная проверка (EV)
  • Выдаётся за 1-5 рабочих дней
  • Стоимость от $50 до $500/год
  • Для финансов, e-commerce, госсайтов
  • Повышает доверие пользователей

Кому это нужно

DevOps

мониторинг SSL-сертификатов

Безопасность

аудит TLS-конфигурации

SEO

HTTPS как фактор ранжирования

E-commerce

доверие покупателей

Частые ошибки

Истёкший сертификатБраузеры блокируют сайт с истёкшим SSL. Настройте автопродление или мониторинг.
Неполная цепочка сертификатовБез промежуточного CA некоторые браузеры и боты не смогут верифицировать сертификат.
Mixed content на HTTPS-сайтеHTTP-ресурсы на HTTPS-странице — замок в браузере пропадает, снижается доверие.
Использование TLS 1.0/1.1Устаревшие версии TLS содержат известные уязвимости. Используйте TLS 1.2+ или 1.3.
Несовпадение домена в сертификатеСертификат должен покрывать все домены сайта, включая www и поддомены.

Лучшие практики

Настройте автопродлениеLet's Encrypt + certbot с cron — сертификат обновляется автоматически каждые 60-90 дней.
Включите HSTSЗаголовок Strict-Transport-Security заставляет браузер всегда использовать HTTPS.
Используйте TLS 1.3TLS 1.3 быстрее (1-RTT handshake) и безопаснее — убраны устаревшие шифры.
Мониторьте срок действияСоздайте монитор на Enterno.io — получайте уведомления задолго до истечения.
Проверяйте цепочку после обновленияПосле обновления сертификата убедитесь, что промежуточные сертификаты установлены.

Получите больше с бесплатным аккаунтом

Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.

Зарегистрироваться (FREE)

Больше по теме

Источники

Часто задаваемые вопросы

TLS 1.2 в QUIC possible?

Нет. QUIC v1 (RFC 9000) mandate TLS 1.3. Если нет TLS 1.3 на сервере — QUIC невозможен.

Draft QUIC versions deprecated?

Да, draft-29, draft-33 deprecated в 2022. Chrome v105+ поддерживает только final QUIC v1. Server must upgrade.

curl --http3 нужен special build?

curl 7.66+ с ngtcp2 и quiche backends. Fedora/Arch — included. macOS brew: <code>brew install curl --HEAD</code>.

Wireshark QUIC?

Wireshark 3.5+ декодирует QUIC если TLS keys exported (SSLKEYLOGFILE env). Essential для debugging.

Запустить инструмент, который описан в этой статье

Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.